CRITICAL✓ PATCH🇬🇧 English

CVE-2026-11374

ManageEngine: przewidywalne tokeny SSO prowadzące do przejęcia konta

CVSS 9.0v3.1pub. 2026-06-23upd. 2026-06-24

Podatność w produktach ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus oraz ADAudit Plus umożliwia nieuwierzytelnionemu atakującemu przewidzenie tokenów SSO (Single Sign-On) używanych do uwierzytelniania sesji. Skutkiem jest możliwość przejęcia konta dowolnego użytkownika bez znajomości jego hasła.

Pokaż oryginał (EN)

In ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus, and ADAudit Plus, the SSO tickets generated to authenticate that session could be predicted by an unauthenticated user, leading to account takeover.

🤖 Analiza AI
Jak działa

Mechanizm generowania biletów (tickets) SSO stosowany przez wymienione produkty ManageEngine zawiera podatność polegającą na niewystarczającej losowości lub przewidywalnym algorytmie tworzenia wartości tokena (CWE-330, CWE-340). Nieuprawniony użytkownik, bez konieczności posiadania jakichkolwiek danych uwierzytelniających, jest w stanie odgadnąć lub obliczyć wartość ważnego biletu SSO wygenerowanego dla innej sesji. Posługując się tak uzyskanym tokenem, atakujący może ominąć mechanizmy uwierzytelniania (CWE-287) i uzyskać dostęp do konta ofiary.

Skutki

Atakujący może w pełni przejąć konto dowolnego użytkownika zaatakowanego systemu, uzyskując dostęp do jego uprawnień, danych oraz możliwości zarządzania tożsamością i zasobami katalogowymi. Ze względu na zakres produktów (zarządzanie hasłami, audyt AD, zarządzanie M365), skutki mogą obejmować kompromitację całej infrastruktury katalogowej organizacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem: https://www.manageengine.com/products/self-service-password/advisory/CVE-2026-11374.html

Kogo dotyczy

ManageEngine ADSelfService Plus, ManageEngine RecoveryManager Plus, ManageEngine M365 Manager Plus oraz ManageEngine ADAudit Plus — konkretne wersje wskazane w referencjach producenta

Uwagi

Podatność wymaga spełnienia warunku wysokiej złożoności ataku (AC:H według wektora CVSS), co oznacza, że skuteczne przewidzenie tokena może wymagać od atakującego dodatkowych informacji lub obserwacji systemu. Niemniej brak wymogu uwierzytelnienia oraz zasięg wpływu na wiele kluczowych produktów zarządzania tożsamością uzasadnia wysoką pilność działań naprawczych.

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje
CVE-2026-11374 — ManageEngine: przewidywalne tokeny SSO prowadzące do przejęcia konta — CRITICAL 9.0 | CVEbaza.pl